Demande de devis

Se mettre en conformité : Les étapes de l’audit RGPD

Se mettre en conformité : Les étapes de l’audit RGPD

Audit RGPD : La mise en conformité RGPD La mise en conformité RGPD impose de nouvelles obligations aux entreprises en matière de données personnelles.
Audit RGPD La mise en conformité RGPD

Audit RGPD : La mise en conformité RGPD

La mise en conformité RGPD impose de nouvelles obligations aux entreprises en matière de données personnelles. Cela passe par plusieurs étapes clefs dont la tenue d’un registre des traitements qui est nécessaire au bon déroulement et permet d’assurer une vision claire de la tâche. Mais avant tout, il faut réaliser un audit RGPD.

Mais qu’est-ce que c’est exactement le RGPD?

Le RGPD ou GDPR en anglais est le RÈGLEMENT de l’UE 2016/679 émanant du Parlement Européen et du Conseil de l’Europe du 27 avril 2016 qui traite de la protection de la vie privée des personnes physiques et du traitement des données à caractère personnel et à la libre circulation de ces données.

Lire plus sur la notion RGPD

Que faire pour assurer sa conformité : l’audit RGPD ?

Tout d’abord, le RGPD ne s’appliquera pas de la même façon à une grande entreprise qu’a une petite structure. Un autre point entre en considération pour évaluer le travail à effectuer. Il s’agit, du type de donnée qui est collectée et du nombre de ces données. Quoi qu’il en soit on peut résumer la conformité au RGPD pour une TPE ou une PME en 4 points qui peuvent être étendus en 6…et même en 10.

Assurer sa conformité s’effectue par un audit de conformité RGPD permettant de contrôler :

  1. Identification des données personnelles traitées (tenir par exemple un registre des activités de traitement),
  2. Gestion des  données que vous collectez,
  3. Le respect des droits des personnes concernées par ces traitements,
  4. Sécurité de vos données.

L’entreprise doit passer par ces 4 étapes pour assurer sa mise en conformité au RGPD.

Voyons maintenant en détail ces différentes étapes.

Mise en conformité RGPD : Le registre des traitements.

L’objectif d’un registre des activités de traitement est de recenser vos fichiers contenant de la donnée personnelle. Celui-ci permet d’avoir une vue d’ensemble sur les traitements effectués au sein de l’entreprise. Beaucoup de personnes pensent qu’ils ne traitent pas de données et qu’il s’agit d’un sport réservé aux grandes structures. Ils se trompent !

Le traitement de données est une action effectuée sur une donnée personnelle comme la collecte, le stockage, la communication etc..

A partir de ce constat et du moment que vous avez UN salarié vous collectez nécessairement des données personnelles sur celui-ci.

Voici quelques exemples d’activités de traitement :

  • La gestion de la paye
  • Le recrutement
  • La gestion des prospects

Le registre comportera par conséquent pour chaque activité de traitement :

  • L’objectif poursuivi
  • Les catégories de données collectées
  • Les entités ou personnes qui ont accès à ces données
  • La durée de conservation des données
  • Les mesures de sécurité mises en place

La CNIL met à disposition un registre des activités de traitement très efficace pour mener cette tache.

Mise en conformité RGPD : Gérez les données que vous collectez !

Une fois votre cartographie effectuée (le registre des traitements) étudiez attentivement chaque activité de traitement en suivant les recommandations suivantes :

1. Les données sont-elles nécessaires à mon activité ?

Par exemple il n’est pas utile de conserver la date de naissance d’un client si cela ne répond pas aux objectifs poursuivis.

Prenons un exemple concret d’une agence immobilière qui demande le RIB d’un locataire. L’agence n’a pas de besoin -en principe- de ce document.

L’agence immobilière doit s’interroger sur la nécessité de collecter un tel document ou de le conserver. Si par contre cette pièce est nécessaire à l’agence ou au propriétaire pour la réalisation du contrat alors il pourra la conserver sinon il est plus souhaitable de ne pas la conserver.

Il est évident que pour mener à bien la mise en conformité au RGPD le rôle du DPO est majeur car il conseille le responsable du traitement et veille à la bonne exécution.(Nommez votre DPO)

2. La durée de conservation de mes données est elle justifiée ?

Si la conservation de vos données n’est plus nécessaire vous devez vous en séparer.

Par exemple : Les cookies web doivent être supprimés après 13 mois maximum.

3. Qu’est-ce qu’une donnée sensible ? 

Si vous traitez des données dites « sensibles » assurez-vous d’en avoir le droit.

L’étude des données sensibles entraine souvent la réalisation d’un PIA. (Qu’est-ce qu’un PIA ?)

4. Qui a accès aux données personnelles que vous collectez ?

Assurez-vous que les données sont accessibles aux seules personnes habilitées (internes ou externes à l’entreprise) la mise en conformité au RGPD en dépend.

Mise en conformité RGPD : respecter les droits des personnes concernées !

Les personnes dont vous collectez les données ont des droits conformément à la réglementation européenne.

Pour cela :

  • Informez les !
  • Facilitez l’accès à ces droits.

Comment informer les personnes concernées ?

En vertu de votre obligation de transparence, et pour assurer votre mise en conformité au RGPD vous devez informer les utilisateurs en question. Il faut leur transmettre dans un document court et lisible ou via tout autre support simple de communication les éléments suivants :

  • La finalité de la collecte (pourquoi vous collectez ?) ;
  • Sur quel fondement vous vous appuyez pour collecter ces données (consentement, contrat …) ;
  • Les personnes ayant accès aux données ;
  • La durée de conservation ;
  • La méthode d’exercice de leurs droits (par mail, par courrier …) ;
  • S’il existe des transferts hors Union Européenne.

Exemple (CNIL) :

Objet du traitement :

La société ABCD dont le siège est situé à CONFIANCE (96 000) – Rue de la Transparence a mis en place un système d’accès par badge pour contrôler l’accès à ses locaux.

La base légale du traitement est l’intérêt légitime (cf. article 6.1.f) du Règlement européen sur la protection des données).

Données enregistrées sur les visiteurs de la société ABCD :

  • Identité : nom, prénom.
  • Vie professionnelle : société d’appartenance et nom du salarié ou de l’agent public accueillant le visiteur.
  • Date et heures d’entrée et de sortie.
  • Nom du salarié ou de l’agent accueillant le visiteur.

Destinataires :

Les destinataires des données sont uniquement les personnels habilités d’ABCD en charge de la sécurité et les personnels de la société en charge de la maintenance du matériel, à cette seule fin.

Durée de conservation :

Les données sont conservées trois mois à compter du jour de votre visite.

Droits des personnes :

Vous pouvez accéder aux données vous concernant ou demander leur effacement. Vous disposez également d’un droit d’opposition, d’un droit de rectification et d’un droit à la limitation du traitement de vos données (cf. cnil.fr pour plus d’informations sur vos droits).

Pour exercer ces droits ou pour toute question sur le traitement de vos données dans ce dispositif, vous pouvez contacter notre délégué à la protection des données (DPO).

  • Contacter notre DPO par voie électronique : dpo@abcd.fr
  • Contacter notre DPO par courrier postal :
    Le délégué à la protection des données
    Société ABCD
    Rue la Transparence
    96 000 CONFIANCE

[NB : si vous n’avez pas de DPO, indiquez des coordonnées précises où exercer ces droits dans l’entreprise].

Si vous estimez, après nous avoir contactés, que vos droits Informatique et Libertés ne sont pas respectés ou que le dispositif de contrôle d’accès n’est pas conforme aux règles de protection des données, vous pouvez adresser une réclamation à la CNIL.

N’hésitez pas à nous demander des exemples de mentions qui sont aussi disponibles sur le site de la CNIL.

Comment permettre aux personnes d’exercer leurs droits ?

Le plus simplement et le plus claire possible !

La mise en conformité au RGPD en dépend.

Les personnes dont vous traitez les données ont des droits – renforcés par le RGPD- qui doivent pouvoir être facilement exerçables.

Par exemple : un formulaire de contact dédié, une adresse mail dédiée, etc.

Un processus interne doit pouvoir permettre de traiter ces données.

Une fois tout cela réalisé il faut assurer la sécurité de ces données.

Se mettre en conformité : sécuriser les données personnelles !

L’objectif de cette étape n’est pas d’assurer la totale sécurité des données mais de mettre en place les mesures de sécurité qui permettront au mieux de sécuriser celles-ci.

La mise en conformité au RGPD passe nécessairement par la sécurisation des données.

Beaucoup de solutions existent pour cela.

Il est important de comprendre que la sécurité se fait aussi bien de manière informatique que physique (armoires fermées à clef) tout dépend des données que vous collectez.

Voici quelques exemples :

  • Mise à jour des antivirus et serveurs ;
  • Changement fréquent des mots de passes et complexité de ceux-ci;
  • Chiffrement des données
  • Etc.

N’hésitez pas à consulter les recommandations de la CNIL à ce sujet, nous avons l’un des meilleurs « gendarme » européen… profitons-en ! Dans le cadre de votre accompagnement nous respecteront scrupuleusement les recommandations de la CNIL

Partager :

Articles similaires

Demande de Rappel

Demandez à avoir plus d'informations

Décrivez nous votre besoin

Contactez DPO101 pour toute demande de renseignement sur la protection des données.
Vous pouvez nous écrire à partir de ce formulaire, nous vous recontacterons dans les plus brefs délais.

Faites vous accompagner
Logo footer DPO101

Cabinet d’accompagnement à la conformité RGPD avec une équipe d’Avocats et de Juristes pour vous accompagner efficacement dans votre mise en conformité RGPD.

Informations

Navigation

Blog

© DPO101. Tous droits réservés. | Mentions légales | Politique de confidentialité